【发布时间】:2010-09-27 05:14:29
【问题描述】:
我有一个应用程序是 asp/asp.net 的组合,双方都依赖于相同的 cookie(它们在同一个域中)。出于安全考虑,我不想再访问客户端的 cookie 中有一些值。我希望完成的是取出这些值,这样它们就不再发送给客户端,然后在每个服务器请求上,以某种方式将这些值“注入”回 cookie,这样应用程序仍然可以正常运行。
这甚至可能吗?我认为可能是通过 ISAPI,但我不太了解 c++。
【问题讨论】:
【发布时间】:2010-09-27 05:14:29
【问题描述】:
使用 Set-Cookie 标头。
"Set-Cookie:Test=test_value; expires=Sat, 01-Jan-2000 00:00:00 GMT; path=/;"
为“过期”提供回溯日期将从客户端删除 cookie。
【讨论】:
我认为 isapi 过滤器是您唯一的选择。如果您不想使用 c++,可以在 python 中完成。
其他选项是将服务器升级到 windows 2008。在 IIS 7 中,可以用 .net 语言编写 isapi 过滤器。
更改应用程序是更明智的选择。
【讨论】:
只是一个猜测,因为问题并不具体,但如果您不希望 cookie 中的信息是为了阻止某人阅读它并将其用于其他目的,您可能需要查看某种可逆加密或其他一些混淆技术,以防止信息被人类阅读。
我不知道 ASP 和 ASP.NET 是否可以读取 Session 或 App 变量,但您可能还想研究使用数据库表来存储信息并只给它们一个会话 ID,用于查一下。有点像临时会话变量。
要获得更好的答案,您可能需要编辑问题以更具体地说明您担心的“安全问题”。它们可能不是问题,或者可能有一种处理问题本身的方法,不涉及奇怪的黑客攻击。
尽管我想说“只需将其全部更改为一个或另一个”,但我明白这并不总是一种选择。 ;)
【讨论】: